Les failles de serveurs Zimbra pourraient conduire au pillage d’e-mails

0

Les serveurs de messagerie Web Zimbra présente deux failles qui pourraient permettre à un attaquant de fouiller dans la boîte de réception et la boîte d’envoi de tous les employés de toutes les entreprises qui utilisent l’outil de collaboration extrêmement populaire, selon les chercheurs.

Dans un article publié récemment, SonarSource a qualifié cette situation de « drastique », compte tenu de la popularité de Zimbra et de la nature très sensible des messages qu’il traite. Selon le site de Zimbra, ses outils de messagerie et de collaboration sont utilisés par plus de 200 000 entreprises, plus d’un millier d’institutions gouvernementales et financières et des centaines de millions d’utilisateurs pour échanger des e-mails chaque jour.

« Lorsque les attaquants accèdent au compte de messagerie d’un employé, cela a souvent des implications drastiques en matière de sécurité », selon le rapport. « Outre les informations et documents confidentiels qui sont échangés, un compte de messagerie est souvent lié à d’autres comptes sensibles qui permettent une réinitialisation de mot de passe. Pensez-y, que pourrait faire un attaquant avec votre boîte de réception ? »

Les chercheurs de SonarSource ont découvert deux vulnérabilités dans le code open source de Zimbra qui peuvent être associées pour donner aux attaquants un accès illimité aux serveurs de messagerie Zimbra et à tous les e-mails envoyés et reçus de tous les employés.

Un e-mail malveillant pourrait transporter une charge utile JavaScript conçue

Découverte par Simon Scannell, chercheur en vulnérabilité chez SonarSource, la première faille pourrait être déclenchée simplement en ouvrant un e-mail malveillant contenant une charge utile JavaScript. Si une victime ouvrait un tel e-mail truqué, elle déclencherait un bogue de script intersites (XSS) (CVE-2021-35208) dans son navigateur. Une fois exécutée, cette charge utile fournirait à un attaquant un accès aux e-mails de la victime, ainsi qu’à sa session de messagerie Web, a déclaré SonarSource.

De plus, ce serait le point zéro pour d’autres attaques, ont-ils déclaré: « Avec cela, d’autres fonctionnalités de Zimbra pourraient être accessibles et d’autres attaques pourraient être lancées. »

zimbra

La deuxième faille est un contournement d’une liste d’autorisation qui conduit à une puissante vulnérabilité de falsification des requêtes côté serveur (SSRF) (CVE-2021-35209) qui peut être exploitée par un compte authentifié appartenant à un membre d’une organisation ciblée qui a n’importe quel rôle d’autorisation.

Les deux failles, si elles sont combinées, donneraient à un attaquant distant le pouvoir d’extraire des éléments précieux, notamment des jetons d’API Google Cloud ou des informations d’identification AWS IAM à partir d’instances au sein de l’infrastructure cloud.

La mauvaise configuration à 80 millions de dollars

Cela peut vous dire quelque chose : les chercheurs ont signalé une violation de Capital One en 2019 impliquant un bogue SSRF similaire. Grâce à une mauvaise configuration du cloud, l’attaquant – notamment un ancien ingénieur AWS – a dérobé les données personnelles de plus de 100 millions de personnes. Le FBI l’a arrêté, mais c’était un problème SSRF coûteux : Capital One a dû débourser plus de 80 millions de dollars pour régler les allégations des régulateurs des banques fédérales selon lesquelles il manquait de protocoles de cybersécurité appropriés.

SonarSource le dit avec modération : « Les vulnérabilités SSRF sont devenues une classe de bogues de plus en plus dangereuse, en particulier pour les applications natives du cloud », selon l’article. La société de sécurité a déclaré qu’elle ne savait pas si Zimbra Cloud, une solution SaaS utilisant AWS, était affectée par la vulnérabilité.

zimbra

Scannell a déclaré à PortSwigger que la faille SSRF permet à un attaquant d’envoyer des requêtes HTTP à des hôtes ou des ports arbitraires. « Combiné à la contrebande de protocoles, cela pourrait conduire à l’exécution de code à distance », a-t-il déclaré. « Cela pourrait également permettre à un attaquant de voler des métadonnées hautement sensibles, telles que des jetons d’accès au compte associé à l’instance qui aurait été exploitée. »

Plus précisément, comme mentionné précédemment, un attaquant pourrait accéder à des jetons d’accès, notamment des jetons d’API Google Cloud ou des informations d’identification AWS IAM à partir d’instances cloud.

L’équipe de Zimbra a résolu les deux problèmes, avec le Patch 18 pour la série 8.8.15 et le Patch 16 pour la série 9.0. SonarSource indique que les versions antérieures des deux branches sont cependant toujours vulnérables.

Les problèmes ont été signalés à Zimbra les 20 et 22 mai, avec des correctifs publiés le 28 juin pour les séries 8.8.15 et 9.0.

Scannell a déclaré à PortSwigger que les vulnérabilités, toutes deux classées comme étant de gravité moyenne, auraient pu avoir des effets graves sur les 200 000 entreprises que Zimbra revendique.

Le passé repointe le bout de son nez pour Zimbra

Il y a fort à parier que les attaquants tenteront d’exploiter les vulnérabilités, étant donné le nombre de cibles qui ont été peintes sur le dos de Zimbra.

En Avril, un bogue de Zimbra – CVE-2019-9670, dans Synacor Zimbra Collaboration Suite (XXE) – était l’une des cinq failles sous attaque d’un État-nation qui a incité un avertissement de la National Security Agency (NSA) à propos d’une campagne APT29 qui était axée sur le vol des informations d’identification et plus encore.

Zimbra doit être une cible favorite du groupe de menace APT29 lié à la Russie : avant la campagne d’Avril, en Juillet 2020, le cybergang a jeté son dévolu sur la recherche pharmaceutique dans les pays occidentaux dans le but probable de voler la recherche d’un vaccin COVID-19. La capture comprenait l’utilisation d’exploits pour des vulnérabilités connues, dont une dans Zimbra (CVE-2019-9670).

Si cet article vous a plu, n’oubliez pas de jeter un coup d’œil à nos bons plans.

Laisser un commentaire